Professional Documents
Culture Documents
I. Fontos leszögezni, hogy 2018. május 25. napjától közvetlenül alkalmazandó az általános
adatvédelmi rendelet1 (a továbbiakban: GDPR), így a KKV szektor honlapjainak legfontosabb
adatvédelmi követelményeit is szinte kivétel nélkül ebben, és nem az Infotv.2 rendelkezései között
kell keresnünk.3
Azt, hogy az új szabályok kikre vonatkoznak, ha személyes adatokat kezelnek, a GDPR hatálya
határozza meg, amelyről az 1-3. cikkek rendelkeznek. E rendelkezések alapján látható, hogy
annak semmi jelentősége nincs, hogy valaki magánszemélyként, kis- vagy középvállalkozásként,
vagy egyéb vállalkozási formában működtet személyes adatokat is kezelő honlapot, ha a
tevékenysége a GDPR hatálya alá tartozik, akkor rá is alkalmazni kell annak előírásait. Tehát a
vegyesbolt, rajongói klub, az egyszemélyes gazdasági társaság, az egyéni vállalkozó vagy
őstermelő weboldalának is meg kell felelnie az adatvédelmi követelményeknek.
1 A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad
áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 rendelet
2 Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény
3 Az Infotv. a GDPR hatálya alá tartozó adatkezelések kapcsán csak kiegészítő rendelkezéseket tartalmaz, az Infotv.-
ben szabályozott adatvédelmi alapelvek, jogalapok és érintetti jogokkal kapcsolatos előírások a bűnüldözési, honvédelmi
és nemzetbiztonsági célú adatkezelést folytató, erre felhatalmazott szervezetek számára alkalmazandóak.
4 GDPR 4. cikk 1. pont: „a személyes adat azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó
bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely
azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai,
genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján
azonosítható.”
5 GDPR 4. cikk 2. pont: „az adatkezelés a személyes adatokon vagy adatállományokon automatizált vagy nem
automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás,
tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb
módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve
megsemmisítés.”
6 Ide nem értve a természetes személyek által végzett, üzleti tevékenységgel össze nem függő, gazdasági,
IV. Sokakban felmerülhet a kérdés, hogy kezel-e egyáltalán személyes adatokat egy honlap,
webshop. Számos weboldalon láthatunk személyes adatkezelést például az alábbi célokkal
összefüggésben:
- a látogató eszközadatainak gyűjtése a működéshez szükséges sütik és statisztikai modulok
működése kapcsán;
- közösségi oldal beépülőmodulok (pl. Twitter, Facebook) adatkezelése az oldal kedvelése,
megoszthatósága, hozzászólások írása, vagy felhasználói fiók regisztrálása során
- hírlevél, levelező lista;
- regisztráció – felhasználói fiókok kezelése;
- álláspályázat, kapcsolat űrlap;
- előzetes tájékoztatás/ajánlat kérés, chatbox, call center;
- fórum vagy chat során az üzenetek tartalma, mellékletei;
- termék vagy szolgáltatás megrendelése;
- online fizetési szolgáltatás igénybevétele (jellemzően adattovábbítás harmadik fél részére);
- számla kiállítás (külső szolgáltató) és megőrzés;
- csomag kézbesítése, futárszolgálat igénybevétele (adatfeldolgozóként vagy
adatkezelőként a közöttük létrejövő megállapodás, az adatkezelés jellemzői alapján);
- adatbiztonsági intézkedések (naplózás, biztonsági mentés, teszt oldal);
- látogatottság mérés (hőtérkép), fiókhoz kapcsolódó marketing eszközök, stb.
A GDPR a hatálya alá tartozó adatkezelések vonatkozásában nem ír elő a korábbi szabályozáshoz
hasonló hatósági nyilvántartásba való bejelentési kötelezettséget, nyilvántartási szám igénylését
az adatkezelők, illetve az adatfeldolgozók számára, a Hatóság által vezetett nyilvántartás
megszűnt. A GDPR két esetben ír elő bejelentési kötelezettséget az illetékes Hatóság felé:
• az adatvédelmi tisztviselő kijelölésére kötelezett vagy az önként kijelölő adatkezelő vagy
adatfeldolgozó vonatkozásában az adatvédelmi tisztviselő elérhetősége, továbbá
• az adatvédelmi incidensek
bejelentése tekintetében.8
Ilyen iránymutatás – vagy annak társadalmi konzultációra bocsátott tervezete – elérhető már az
átláthatósággal kapcsolatos követelményekről (beleértve az adatkezelési tájékoztatással
kapcsolatos elvárásokat is); az érintett hozzájárulásán alapuló adatkezelésekre vonatkozó
előírásokról; az online környezetben történő egyes szerződéskötésekhez kapcsolódóan
alkalmazható ún. szerződéses adatkezelési jogalap kapcsán; az adatkezelő és adatfeldolgozó
GDPR szerinti felfogásáról; a beépített és alapértelmezett adatvédelem elve, valamint a közösségi
oldalak használóit célzó adatkezelések kapcsán is.9
A Hatóság által 2017-ben összeállított, a honlapok adatkezeléséről szóló tájékoztató már csak
jogtörténeti érdekességként olvasandó, mivel az abban foglaltak a GDPR előtti előírásokat
mutatják be. Honlapokkal kapcsolatos adatkezelések kapcsán folytatott adatvédelmi hatósági
eljárás eredményeként született már viszont a GDPR utáni jogi környezetben is az adatbiztonsági
követelmények teljesülését, valamint honlapon bekövetkező adatvédelmi incidens kezelésével
kapcsolatos követelményeket vizsgáló határozat.10 Emellett a GDPR alkalmazására történő
felkészülés jegyében a Hatóság is állásfoglalást bocsátott ki a magánszemélyek által üzemeltetett
honlap adatvédelmi kérdései (NAIH-2018-3567-2-V) tárgyában,11 és a megfelelő nyelven történő
előzetes tájékoztatásról (NAIH-2018-3878-2-V).12
VI. Amennyiben tehát a fent leírtak alapján egy KKV a honlapja kapcsán adatkezelőnek minősül,
akkor ehhez jogszerű és tisztességes adatkezelési cél, valamint az adatkezelés jogszerűségét
alátámasztó jogalap meghatározása szükséges, amelyre a GDPR 6. cikk (1) bekezdése szerinti
jogalapokra hivatkozással kerülhet sor.
A GDPR 5. cikke tartalmazza azon fő alapelveket, amelyeket a személyes adatok kezelése során
figyelembe kell venni, és amelyeknek folyamatosan érvényesülniük kell az adatkezelés során.
Az adatkezelő felelős az adatvédelmi alapelveknek való megfelelésért, amellett képesnek kell
lennie e megfelelés igazolására („elszámoltathatóság”).13 Ez alapján az adatkezelő köteles úgy
dokumentálni és nyilvántartani az adatkezelést, hogy annak jogszerűsége utólag bizonyítható
hatarozat.pdf); A DIGI Távközlési és Szolgáltató Kft-nél bekövetkezett adatvédelmi incidensben érintett adatbázisok
célhoz kötöttséggel, korlátozott tárolhatósággal és adatbiztonsággal kapcsolatos hiányosságai
(https://naih.hu/files/NAIH-2020-1160-10-hatarozat.pdf) és Adatvédelmi incidenssel kapcsolatos bejelentési
kötelezettség elmulasztása (https://naih.hu/files/NAIH-2019-2668-hatarozat.pdf).
11
https://naih.hu/files/NAIH_2018_3567_V_20180713.pdf
12 https://naih.hu/files/NAIH-2018-3878-allasfoglalas.pdf
13 GDPR 5. cikk (2) bekezdés.
4
Az érintetteket tájékoztatni kell az őket érintő adatkezelési műveletekről a GDPR 13. cikke
vagy 14. cikke szerinti tartalommal összeállított adatkezelési tájékoztató útján.
E körben ki kell emelnünk, hogy a tájékoztatóban fontos az oldalon megvalósuló adatkezelési célok
tételes nevesítése, azokhoz jogalap meghatározása, nem elegendő a GDPR jogalapjainak
felsorolása, mivel ez határozza meg az érintett által gyakorolható jogokat az adatkezelés kapcsán.
Fontos gyakorlati feladat a címzettek meghatározása (honlap tárhely szolgáltatója, statisztikai süti
szolgáltatója, pl. Google Analytics, futár, könyvelő, online fizetés-, számlázás szolgáltató, support
szolgáltató). Gyakran elmarad emellett a megőrzési idők meghatározása, amelyet a fenti
adatkezelési célok mentén kell meghatározni (a számviteli bizonylat megőrzési ideje nem
feltétlenül lehet azonos más célból gyűjtött adatok megőrzési idejével).
Amennyiben bármely természetes személy a GDPR 15-21. cikk szerinti érintetti jogait kívánja
gyakorolni, így például a hozzáférési jogával kíván élni, úgy az adatkezelő első alkalommal köteles
annak díjmentesen eleget tenni a rendeletben meghatározott határidőn belül.17
VII. Egy weboldal használata során a látogatóktól begyűjtött információ és annak hírlevél
küldésre történő felhasználása a GDPR 4. cikk 2. pontja alapján adatkezelésnek minősül.
14 GDPR 5. cikk (1) bekezdés c) pont: „a személyes adatok az adatkezelés céljai szempontjából megfelelőek és
relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”)”.
15 GDPR 5. cikk (1) bekezdés e) pont: „a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek
azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes
adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a
89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy
statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt
megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);”
16 GDPR 5. cikk (1) bekezdés f) pont: „a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai
vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok
jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni
védelmet is ideértve („integritás és bizalmas jelleg”)”.
17 GDPR 12. cikk (3)-(5) bekezdései.
5
A GDPR 6. cikk (1) bekezdés a) pontja alapján a személyes adatok kezelése elsősorban akkor és
annyiban jogszerű, amennyiben az érintett hozzájárulását adta személyes adatainak egy vagy több
konkrét célból történő kezeléséhez.
Ebből kifolyólag az előre kipipált checkbox nem felel meg a hozzájárulás megadásával szemben
támasztott követelményeknek, tekintettel arra, hogy előfordulhat olyan eset, amikor az érintett az
adatai megadásakor nem veszi észre a már kipipált checkboxot, és így egy olyan nyilatkozatot
tesz, amelyet nem biztos, hogy meg akart tenni.
Ha az adatkezelés jogalapja az érintett hozzájárulása, abban az esetben a GDPR 17. cikk (1)
bekezdés b) pontja szerint az érintett jogosult arra, hogy az adatkezelő kérésére törölje a rá
vonatkozó személyes adatokat, amennyiben az adatkezelésnek nincs más jogalapja.
VIII. A sütik olyan kisméretű adatcsomagok, szöveges fájlok, amelyek egy adott honlapon vagy
alkalmazásban történt látogatás alkalmával kerülnek elhelyezésre a látogató böngészőjében vagy
az eszközén. A sütik lehetővé teszik, hogy az adott honlap a látogatót a következő látogatásakor
felismerje, és ez által biztonsági, kényelmi funkciókat biztosítson és javítsa a felhasználói élményt
az oldal böngészése közben. A sütiknek több típusát különböztetjük meg.
Ezen túlmenően az Európai Bíróság a C-673/17. sz. ügyben hozott ítéletében - Bundesverband
der Verbraucherzentralen und Verbraucherverbände V ̶ erbraucherzentrale Bundesverband eV
kontra Planet49 GmbH – kimondta, hogy a sütik telepítése az internethasználók aktív
hozzájárulását igényli, egy előre bejelölt négyzet tehát nem elegendő.18
A lehetséges jogalapok egyike – a 6. cikk (1) bekezdés a) pontja szerint – az érintett hozzájárulása:
ez azt jelenti, hogy jogszerű lehet az adatkezelés, ha az érintett ahhoz hozzájárul, azaz „engedélyt
ad”.
Az olyan sütik, amelyek telepítése nélkül az adott oldal nem képes működni, a hozzájárulás
egyértelműen nem képezheti az adatkezelés jogalapját, hiszen e sütik alkalmazása mindenképpen
szükséges, nem döntheti el az érintett, hogy kívánja-e ezeket alkalmazni vagy sem. Tekintettel
arra, hogy a jogszerű adatkezelés alapfeltétele a 6. cikk (1) bekezdés valamely esetének
fennállása, így ilyenkor az adatkezelő köteles megjelölni egy – a hozzájárulástól eltérő – egyéb
jogalapot. Megfelelő jogalap lehet ilyen esetekre a GDPR 6. cikk (1) bekezdés e) vagy f) pontja,
vagyis, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány
gyakorlásának keretében végzett feladat végrehajtásához szükséges, vagy ha az adatkezelő az
érdekek megfelelő mérlegelését elvégzi, és igazolni tudja, hogy jogos érdeke (az oldal
működéséhez sütik elhelyezése szükséges) elsőbbséget élvez az érintettek jogaival szemben.